Проверка DNS-записей домена
A, AAAA, MX, NS, TXT, SPF, DKIM, DMARC, DNSSEC, CAA — всё за 5 секунд. Покажем что есть, чего не хватает для email и как починить.
Что такое DNS и зачем его проверять
DNS (Domain Name System) — телефонная книга интернета. Когда юзер вводит audit4seo.ru, его браузер спрашивает у DNS-сервера: «какой IP у этого домена?» — получает 159.194.216.43 и идёт туда. Без правильной DNS-записи сайт **физически не работает**, никакой SEO не поможет.
Помимо адреса сайта (A-запись), DNS хранит маршрутизацию почты (MX), email-аутентификацию (SPF/DKIM/DMARC), сертификаты (CAA) и подпись зоны (DNSSEC). Один неверный символ в TXT-записи может сломать доставку всей корпоративной почты.
Категории DNS-записей
A и AAAA — адрес сервера
- A — IPv4-адрес сайта (например, 159.194.216.43). Без неё сайт не открывается.
- AAAA — IPv6-адрес. Не обязательна, но рекомендуется в 2026 (Google предпочитает IPv6 при ранжировании).
NS и SOA — делегирование зоны
- NS — список авторитетных DNS-серверов вашего домена. Минимум 2 для отказоустойчивости.
- SOA — Start of Authority. Метаданные зоны: серийный номер, TTL, контакт администратора.
MX — почтовые серверы
MX-запись говорит миру, на какие серверы доставлять почту, адресованную @yourdomain.ru. Несколько MX с разным приоритетом — стандарт (priority=10 главный, 20 резервный). Без MX почту никто не доставит.
SPF / DKIM / DMARC — три кита email
- SPF (Sender Policy Framework) — TXT-запись, в которой перечислены IP/хосты, которые могут отправлять от вашего имени. Пример:
v=spf1 include:beget.com ~all. - DKIM (DomainKeys Identified Mail) — публичный криптоключ. Каждое письмо подписывается приватным ключом сервера, получатель проверяет подпись. Селектор задаёт имя записи:
beget._domainkey.yourdomain.ru. - DMARC — политика что делать с письмами, не прошедшими SPF+DKIM. Минимум:
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.ru.
В 2024 Google и Yahoo сделали SPF+DKIM+DMARC обязательными для всех отправителей более 5000 писем/день. Без этого ваши drip-кампании, welcome-письма, нотификации идут в спам.
DNSSEC и CAA — security
- DNSSEC — криптографическая подпись зоны. Защита от DNS-spoofing атак. Включается у регистратора, не все зоны поддерживают.
- CAA (Certificate Authority Authorization) — TXT-запись, ограничивающая, кто может выпускать SSL для вашего домена. Пример:
0 issue "letsencrypt.org".
FAQ
Сколько времени занимает обновление DNS после изменения?
От нескольких минут до 48 часов. Зависит от TTL (Time To Live) старой записи. Если планируете миграцию — за 1-2 дня заранее снизьте TTL до 300 секунд (5 мин), потом меняйте записи.
Почему сервис не нашёл мой DKIM?
Мы перебираем 15 типичных селекторов. Если ваш DKIM использует нестандартное имя (например, mail2024._domainkey) — он не попадёт в выборку. Узнайте селектор у провайдера почты и проверьте вручную: dig TXT selector._domainkey.domain.ru.
Можно ли иметь сразу несколько SPF-записей?
Нет, нельзя. Стандарт RFC 7208 явно запрещает. Если у вас 2 разных SPF-записи (например, старая и новая) — почтовые серверы будут видеть PermError и отклонять. Объедините в одну: v=spf1 include:beget.com include:google.com ~all.
Что такое разница между ~all и -all в SPF?
~all (softfail) — мягкая политика, письма с не-SPF серверов попадут в спам. -all (hardfail) — жёсткая, письма откажут совсем. Начинайте с ~all, через 1-2 месяца наблюдений можно перейти на -all.
В чём разница между p=none, p=quarantine и p=reject в DMARC?
none — только мониторинг (DMARC-отчёты приходят, но писем не блокируется). quarantine — несоответствующие письма в спам. reject — отклоняются совсем. Стандартный путь: 1 мес none → 3 мес quarantine → reject.
Связанные инструменты
- WHOIS домена — регистратор, дата регистрации, владелец
- Анализатор HTTP-заголовков — security headers сайта
- Все бесплатные инструменты
- Полный SEO-аудит сайта по 80 параметрам